Belgia andmekaitse järelevalveasutus (APD, Autorité de protection des données, GBA, Gegevensbeschermingsautoriteit) määras ettevõttele rollikonflikti sattunud andmekaitsespetsialisti määramise eest 50 000 eurot trahvi.
Uurimise ajendiks oli teavitus isikuandmetega seotud rikkumisest. Ettevõtte andmekaitsespetsialist oli ühtlasi sellesama ettevõtte vastavuskontrolli, riskihalduse ja auditiosakonna juhataja (Head of the Compliance, Risk Management and Audit department).
Järelevalveasutuse hinnangul ei ole see olukord kooskõlas GDPR artikli 38 lõikega 6, mille kohaselt võib andmekaitseametnik täita muid ülesandeid ja kohustusi vaid juhul kui puudub huvide konflikt.
Kõnealusel juhtumil oli andmekaitsespetsialistil osakonna juhina otsustusõigus määrata isikuandmete töötlemise eesmärgid ja viisid, mistõttu tekkis olukord, kus andmekaitsespetsialist istus justkui „mõlemal pool lauda“. Andmekaitsespetsialist, kes ise langetab otsuseid andmetöötlustoimingute tegemise üle, ei saa samal ajal tagada piisavalt sõltumatut kontrolli andmetöötlustoimingute õiguspärasuse üle.
GDPR paneb suurt rõhku andmekaitsespetsialisti sõltumatusele – andmetöötleja peab tagama, et andmekaitsespetsialist ei saa oma ülesannete täitmise suhtes mis tahes juhiseid. Piirangud on seatud ka võimalusele teda oma ülesannete täitmise eest ametist vabastada või karistada. Andmekaitsespetsialist peaks alluma vahetult andmetöötleja kõrgeimale juhtimistasandile.
Euroopa Andmekaitsenõukogu on koostanud andmekaitsespetsialisti määramist ja tegevust puudutava juhise: https://ec.europa.eu/newsroom/article29/items/612048/en
Artikli kirjutamisel kasutatud allikas:
https://iapp.org/news/a/belgian-dpa-issues-fine-over-breach-of-gdprs-dpo-requirement/